ترامب يثير الجدل: أوكرانيا قد لا تنجو من الحرب مع روسيا    ريال مدريد يفوز على فاليكانو ويتقاسم قمة الدوري الإسباني مع برشلونة    النجمة أمام العدالة.. وجدة يلاقي أبها.. والجبيل يواجه العين    التلاعب بالإجازات المرضية.. السجن و100000 ريال    أعمال «مرور الرياض» أمام محمد بن عبدالرحمن    هدم 632 منزلاً في طولكرم    سورية: اشتباكات عنيفة مع فلول النظام السابق ومجرمي الحرب بمحيط قرية تعنيتا    الدول المنتجة للنفط تخفّض الانبعاثات بتعزيز كفاءة التشغيل    نمو الناتج المحلي 1.3 % خلال عام 2024    المرأة السعودية.. من التمكين إلى الريادة    الإفطار الرمضاني بالعُلا تجربة تنبض بعبق التاريخ والتراث الأصيل    "الداخلية".. خطط متكاملة لتعزيز الأمن وإدارة الحشود    مكة في عهد عبد الملك بن مروان.. استعادة السيطرة وإعادة الإعمار    تحديد موقف ميتروفيتش من مواجهة باختاكور    أمير تبوك يطلع على التقرير السنوي لمديرية الدفاع المدني بالمنطقة    هيئة الصحفيين السعوديين بحاضرة الدمام تنظّم اللقاءً الرمضاني السنوي 1446    مشروع الأمير محمد بن سلمان لتطوير المساجد التاريخية يجدد مسجد فيضة أثقب بحائل    مكتبة الملك عبدالعزيز العامة ترسخ مبادئ التمكين الثقافي للمرأة السعودية    أمير منطقة جازان يتسلم التقرير السنوي لجمعية الأمير محمد بن ناصر للإسكان التنموي    المنطقة الشرقية تسجل أعلى معدل هطول للأمطار في المملكة ب 2.5 ملم    تجمع القصيم الصحي يطلق حملة "صم بصحة" لتعزيز الوعي الصحي خلال شهر رمضان المبارك    الجامعات السعودية تتصدر قائمة أفضل 100 جامعة في العالم في ترتيب الأكاديمية الوطنية للمخترعين الأمريكية    المياه الوطنية تُنفذ خطوط الصرف الصحي في حي العارض بالرياض    يوم العلم السعودي.. اعتزاز بالهوية وترسيخ للقيم    أجواء روحانية ومزيج من العادات الرمضانية يعيشها المقيمون في المملكة    أمين منطقة القصيم يفتتح مقر حملة جود القصيم    الدفاع المدني يوضح أرقام الطوارئ أثناء الأمطار    %95 يؤيدون أن تتضمن لوحة المفاتيح رمز الريال    15 شهيدا ومصابا خلال 48 ساعة في غزة    الاتفاق يعبر العروبة بثنائية    وزير الخارجية ونظيره الإيراني يبحثان العلاقات والمستجدات    الموت يغيب أيقونة الطرب المغربي نعيمة سميح    أمريكا ترصد 10 ملايين دولار مقابل معلومات عن متزلج كندي    حبست زوجها على شرفة المنزل.. فمات من البرد    الجامعات السعودية تتصدر قائمة أفضل 100 جامعة في العالم    1340 حالة ضبط ممنوعات في المنافذ الجمركية خلال أسبوع    المرأة السعودية.. شريك أساسي في بناء المستقبل بفضل رؤية القيادة الرشيدة    النجم الأزرق .. المصيف .. القارة والعلمين تصعد لدوري الدرجة الثالثة    الهلال يحافظ على كنو    عثرات فبراير.. وكذبة أبريل    40 مبدعًا يمثلون المملكة في آيسف 2025    الصيام الإلكتروني    الوداد من الحلم إلى الواقع استقرار اليتيم داخل أسرة    الجامعة العربية تدين تصاعد العنف في الساحل السوري    2027 عام الحسم أم استمرار الجمود في مضيق تايوان؟    المرأة ومأزق المربع الأول    الدولة بين واجبات السياسة وفنون الإدارة 2/2    "حارة الأحمدي" تقيم أطول مائدة رمضانية في جازان من صنيع الأمهات    نائب أمير حائل يستقبل العياد    فلسفة الطير: حكمة العلوّ ورؤية ما لا يُرى    حين تربي طفلك فأنت تصنع مجتمعا    الذكاء الاصطناعي يقتحم المطبخ    تقنية متطورة لاستئصال أورام الدماغ    كفاءة الإنفاق بالتعليم تلغي اللجان المركزية    في يومها العالمي.. المرأة السعودية تتقدم وتشارك بفعالية في بناء الوطن    Pressreader: السعودية الخيار الجذاب للدبلوماسية العالمية    أمير منطقة جازان يشارك رجال الأمن في الميدان إفطارهم الرمضاني    رئيس محكمة استئناف جازان وقائد حرس الحدود بالمنطقة يزوران أسرة الخرد    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



ToddyCat: عصابة إنترنت متقدمة تستهدف كيانات بارزة ببرمجيات خبيثة جديدة
البلاد نشر في البلاد يوم 23 - 06 - 2022

أفاد باحثو كاسبرسكي بوجود حملة تخريبية مستمرة تنفذها عصابة التهديدات المتقدمة المستمرة، المسماة ToddyCat، والتي تركّز في عملها على اختراق خوادم Microsoft Exchange المتعددة باستخدام برمجيتين خبيثتين؛ Samurai backdoor وNinja Trojan. واستهدفت الحملة في الأساس القطاعات الحكومية والعسكرية في أوروبا وآسيا.
وتُعدّ ToddyCat واحدة من العصابات الجديدة والمتطورة نسبيًا في مجال التهديدات المتقدمة المستمرة على إنترنت، واكتشف باحثو كاسبرسكي نشاطها لأول مرة في ديسمبر 2020 عندما نفذت عددًا من الهجمات على خوادم Microsoft Exchange لدى الجهات التي تستهدفها. وفي فبراير ومارس 2021، لاحظت كاسبرسكي تصعيدًا سريعًا في نشاط العصابة، حين بدأت في استغلال ثغرة ProxyLogon على خوادم Microsoft Exchange لاختراق العديد من المؤسسات في أوروبا وآسيا. لكن اعتبارًا من سبتمبر 2021، نقلت العصابة اهتمامها إلى أجهزة سطح المكتب لدى الجهات الحكومية والهيئات الدبلوماسية في آسيا، وتعمل باستمرار على تحديث ترسانتها وتواصل إلى الآن شنّ مزيد من الهجمات.
وبينما لم يتضح بعد ناقل الإصابة في الأنشطة التخريبية الحديثة التي مارستها ToddyCat، فقد أجرى الباحثون تحليلًا شاملاً للبرمجيات الخبيثة المستخدمة في الحملات. وتوظف العصابة أداتي Samurai Backdoor وNinja Trojan المتطورتين في التجسّس الرقمي، والمصممتين لاختراق الشبكات المستهدفة بعمق، مع الحفاظ على ميزة التخفّي.
وتُعدّ برمجية Samurai منفذًا خلفيًا متكاملًا يشكّل المرحلة النهائية للهجوم ويسمح للمهاجم بإدارة النظام عن بُعد والتحرّك جانبيًا داخل الشبكة المخترَقة. وتتسم هذه البرمجية الخبيثة بقدرتها على استخدام أدوات تحكّم متعددة في سير تنفيذ التعليمات البرمجية، ما يصعّب تتبع ترتيب الإجراءات في الشيفرة البرمجية. كذلك، تُستخدم هذه البرمجية لإطلاق برمجية خبيثة أخرى تُدعى Ninja Trojan، وهي أداة تنسيقية معقّدة تسمح لعدة مشغلين بالعمل على الجهاز نفسه في وقت واحد.
وتتيح Ninja Trojan أيضًا مجموعة كبيرة من الأوامر التي تسمح للمهاجمين بالتحكّم في الأنظمة البعيدة مع تجنب الانكشاف. وعادة ما تُحمَّل في ذاكرة الجهاز وتشغَّل بأدوات تحميل متنوعة. وتبدأ البرمجية هذه العملية عن طريق استرداد معلِّمات التهيئة من الحمولة المشفرة، ثم تتسلل بعمق إلى الشبكة المخترقة. وتتضمن قدرات هذه البرمجية الخبيثة إدارة أنظمة الملفات، وتشغيل واجهات الاستخدام البعيدة، وإعادة توجيه حزم TCP، وحتى السيطرة على الشبكة خلال أطر زمنية محددة، والتي يمكن تهيئتها ديناميكيًا باستخدام أمر محدّد.
وتشبه البرمجية الخبيثة أيضًا بعض البُنى الهيكلية المعروفة، التي تبدأ في إدارة الأنظمة بعد اختراقها، مثل CobaltStrike، فيما تسمح لها مزايا التخفي بالحدّ من عدد الاتصالات المباشرة من الشبكة المستهدفة إلى أنظمة القيادة والسيطرة البعيدة دون الوصول إلى الإنترنت. بالإضافة إلى ذلك، يمكنها التحكّم في مؤشرات HTTP وتمويه حركة المرور التخريبية في طلبات HTTP، ما يجعلها تبدو شرعية عن طريق تعديل ترويسة HTTP ومسارات URL، وهي مزايا تُكسب Ninja Trojan قدرة مميزة على التخفي.
وأكّد غيامباولو ديدولا الخبير الأمني لدى كاسبرسكي أن ToddyCat "عصابة تهديد متطورة" تتمتع بمهارات تقنية عالية، مشيرًا إلى قدرتها على التخفّي وتجنّب الانكشاف، والوصول إلى أكبر المؤسسات وأقواها. وقال: "ما زلنا لا نمتلك رؤية كاملة تحيط بعمليات هذه العصابة وتكتيكاتها، بالرغم من عدد أدوات التحميل والهجمات التي تم اكتشافها خلال العام الماضي، وقد لاحظنا تركيزها على القدرات المتقدّمة للبرمجيات الخبيثة، ف Ninja Trojan، كما يتضح من اسمها، برمجية يصعب اكتشافها، وبالتالي يصعب إيقافها". وأوضح ديدولا أن أفضل طريقة لمواجهة هذا النوع من التهديدات تتمثل في استخدام دفاعات متعددة المستويات، تتيح معلومات عن الأصول الداخلية وتبقى على اطلاع على أحدث معلومات التهديدات".
يمكن الاطلاع على التقرير على Securelist لمعرفة المزيد عن ToddyCat وأساليبها وطرق حماية الشبكات من هجماتها.
ويوصي باحثو كاسبرسكي باتباع الإجراءات التالية لتجنب الوقوع ضحية لهجوم موجه من قِبل جهات التهديد المعروفة أو المجهولة:
تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal نقطة وصول واحدة إلى معلومات التهديدات التي جمعتها كاسبرسكي على مدى نحو 25 عامًا وتتيح بيانات الهجمات الرقمية والرؤى المتعمقة والأفكار المستمدة منها. وبالإمكان الاستفادة من الوصول مجانًا إلى مجموعة من المزايا المنسقة في البوابة، ما يسمح للمستخدمين بفحص الملفات وعناوين URL وعناوين IP.
صقل مهارات فريق الأمن الرقمي وإعدادهم للتعامل مع أحدث التهديدات الموجهة من خلال تدريب كاسبرسكي عبر الإنترنت الذي طوره خبراء فريق البحث والتحليل العالمي لدى كاسبرسكي.
تنفيذ حلول الكشف عن التهديدات والاستجابة لها، مثل Kaspersky Endpoint Detection and Response، عند النقاط الطرفية، للكشف عن التهديدات عند الأجهزة الطرفية والتحقيق فيها ومعالجة الحوادث في الوقت المناسب حال وقوعها.
تنفيذ حل أمني على المستوى المؤسسي، مثل Kaspersky Anti Targeted Attack Platform، للكشف عن التهديدات المتقدمة في الشبكات في مرحلة مبكرة.
تقديم تدريب على الوعي الأمني وتعليم المهارات العملية لفريقك، من خلال Kaspersky Automated Security Awareness Platform مثلًا، نظرًا لأن العديد من الهجمات الموجهة تبدأ بمحاولات التصيّد أو مبادئ الهندسة الاجتماعية الأخرى.

انقر هنا لقراءة الخبر من مصدره.